手动查找 IAT 的方法!!!

最新推荐文章于 2021-11-09 21:18:41 发布
最新推荐文章于 2021-11-09 21:18:41 发布
阅读量2.9k 收藏
点赞数 1
分类专栏: 文章标签: user 2010 c import 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/4801668
版权

 

一个这样的壳: MoleBox 2.x.x -> Mole Studio

是用 汇编写的;

 

*****************************

运用 ESP 定律 达到程序的 OEP (如果在这个过程中,程序出现异常,就将它们添加进异常,继续运行程序,到达OPE,当看到 -jmp后,F7 进入就到了),正常脱壳后,发现程序无法运行。。修复时,有两个无效的指针。用等级1修复后,似乎好了,但并没有修好。。不能运行。。

 

这时,我们可以断定,应该是还有 IAT 没有处理晚(没解码),于是,我们右键,查找--二进制字串;*********

 

向里面 输入 FF25 这是 IAT 所特有的; IAT 有两种:1:有 JMP 组成 2:有 CALL 组成;********

 

当看到:

 

004014BE - FF25 10204000 jmp dword ptr [402010] ; CrackME2.004830F5 ********

004014C4 - FF25 0C204000 jmp dword ptr [40200C] ; CrackME2.00482D45 ********

004014CA - FF25 08204000 jmp dword ptr [402008] ; kernel32.lstrlenA

004014D0 - FF25 20204000 jmp dword ptr [402020] ; user32.DialogBoxParamA

004014D6 - FF25 18204000 jmp dword ptr [402018] ; user32.EndDialog

004014DC - FF25 1C204000 jmp dword ptr [40201C] ; user32.GetDlgItem

004014E2 - FF25 34204000 jmp dword ptr [402034] ; user32.GetDlgItemTextA

004014E8 - FF25 24204000 jmp dword ptr [402024] ; user32.LoadBitmapA

004014EE - FF25 28204000 jmp dword ptr [402028] ; user32.LoadIconA

004014F4 - FF25 2C204000 jmp dword ptr [40202C] ; user32.MessageBoxA

004014FA - FF25 30204000 jmp dword ptr [402030] ; user32.SendMessageA

00401500 - FF25 00204000 jmp dword ptr [402000]

像这样的东西后;

 

我们确定找到了 IAT ; 同时,我们发现:

004014BE - FF25 10204000 jmp dword ptr [402010] ; CrackME2.004830F5

004014C4 - FF25 0C204000 jmp dword ptr [40200C] ; CrackME2.00482D45

 

CrackME2.004830F5 和 CrackME2.00482D45: 它们是没解码的标志;

 

于是,我们记录下:dword ptr [402010] 和 dword ptr [40200C] ,他们 的内存偏移地址;

 

重新载入程序后***************:dd 402010 和 dd 40200C 这个,然后对它们进行 -------内存写入;******

F9运行后,观察数据窗口,当出现函数时,停止 F9 ,记下函数名字;*********

 

得到:

004014BE - FF25 10204000 jmp dword ptr [402010]

eax=7C81CAFA (kernel32.ExitProcess)

ds:[00402010]=000020C8

 

004014C4 - FF25 0C204000 jmp dword ptr [40200C]

eax=7C80B731 (kernel32.GetModuleHandleA)

ds:[0040200C]=000020D6

 

ExitProcess 和 GetModuleHandleA 就是没有解码的函数;于是我们就可以用 Import REC 来修复那两个指针了;

 

注意修复的时候,地址要与函数的相一致***************

 

专注成就专业_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FSG2.0(2)------手动查找IAT
confusion
01-06 848
上回到了OEP,接着就进行脱壳。 用OllyDump,不选择重建输入表,点击脱壳。 用Import REConstructor修复IAT,修改OEP,自动搜索,获取输入表(ps:此时od未关,停在OEP处) DIT查询得知此程序是vc编译,而一个简单的vc编译程序是这样: 所以需要手动查找IAT。 在402190上面到最开始的地方(前面全是0的位置)402000就是IAT的位
(3)手动查找IAT
~
05-25 118
到入口段点的第二行,数据窗口跟随这时的ESP并下硬件访问断点,F9进入断点(OEP已在附近),到0040开头的第一行OEP,向下一个系统函数并follow(enter),向上到第一行的ds即为IAT起始位置,如:下图起始位置为4E010C。提前用LordPE直接脱壳,或到OEP后使用olldump脱壳为unpack.exe。打开重建工具修改RVA及大小(大小一般写1000即可),Fix dump。
IAT表是如何实现的
zzx的博客
12-16 2300
我们知道当程序要调用系统dll时,会用到IAT表 具体是怎么实现的呢, 假设我们程序中某处要用到MessageBoxA,那么这里会有两种形式,一种是先call到一个地址,这个地址中是一个jmp [A],A中存放着数据,数据内容就是我们的MessageBox的入口地址。另一种情况是直接calll到MessageBoxA的入口地址即 [A],千万要注意是A中存放的数据,而不是A本身,A中存放的数据
PE文件中的IAT和IET
learn112的博客
12-29 1052
PE文件中的IAT和IET IAT IAT中文名叫导入地址表 在IAT中存放的是导入的函数的RVA数组,每个元素对应一个函数的地址(RVA) 通过这个RVA即可到导入函数的位置 所以说我们必须先知道IAT在哪 1.到可选头结构体的最后一个成员 可选头结构体的最后一个成员是DataDirectory 它是一个结构体数组 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; BYTE M
C/C++ 手工实现IAT导入表注入劫持
CSDN
09-20 9888
DLL注入有多种方式,今天介绍的这一种注入方式是通过修改导入表,增加一项导入DLL以及导入函数,我们知道当程序在被运行起来之前,其导入表中的导入DLL与导入函数会被递归读取加载到目标空间中,我们向导入表增加导入函数同样可以实现动态加载,本次实验用到的工具依然是上次编写的PE结构解析器。
C++获取当前进程IAT方法
09-04
为了实现这一点,PE文件包含了一个导入地址表(IATImport Address Table),它存储了从DLL导入的函数的地址。在C++编程中,有时我们需要获取当前进程的IAT,以便分析程序的依赖或进行动态钩子等高级操作。本篇文章...
RL!dePacker
03-04
Generic unpacker can unpack ONLY packers that do not use IAT redirection, that don`t steal APIs and which fillout IAT table in correct order. All ordinals are converted to API names, so this means no...
IAT.rar_IAT_iat 注入
09-21
6. **触发注入**:可能需要通过API钩子或其他方法,让目标程序触发新注入的函数。 7. **处理异常**:注入过程中可能会遇到各种异常,如权限问题、内存冲突等,因此需要有良好的错误处理机制。 需要注意的是,IAT...
iat输入表hook的源码
最新发布
09-14
- **到目标函数**:在IAT查找目标函数的入口,这涉及到解析IAT条目和对应的函数名。 - **备份原始地址**:在修改IAT之前,保存原始函数地址,以便后续恢复。 - **设置钩子**:将IAT条目的地址改为我们的钩子...
OD使用之查找 API的方法
nethm的专栏
09-26 9343
一    反汇编窗口,右键--查找--当前模块中的名称,就可以列出所有函数了。快捷键Ctrl+N   如果想查看所有引用这个函数的地方,则继续在函数上面右键--查找所有调用引用。 二  bp CreateFileA ,然后F9 跑起来,如果能够断下来。不是很准确,但是在一定条件下,好用。
在OD中手工修复IAT重定向
谢绝留言与私信
02-12 2829
前言壳代码,都会重定向IAT表项到壳里的地址. 如果到真正的IAT表项的API地址列表, 自己手工填到ImpREC中挺繁琐的. 这时, 可以在已经停在OEP处的OD中, 先在ImpREC中填写正确OEP, 得到IAT表项. 当IAT表项在壳内时(无效项), 在OD中根据ImpREC提示的IAT表项地址, 手工到真实的API地址, 将IAT手工填充(2进制拷贝,2进制粘贴), Dump出去壳
菜鸟脱壳之脱壳的基础知识(六)——手动查找IAT和修复Dump的程序
banhanjun1518的博客
07-05 710
前面讲了如何寻OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK-API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是到加密这些IAT的地址的跳转(就是MagicJump),将它修改为强制跳转(JMP...
手动修复IAT
weixin_30402085的博客
06-17 767
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措。 首先我们用ESP定律到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDump的dump效果也不错,这里我们来使...
滴水逆向三期实践16:IAT表和导入表
Rivival_S 的博客
11-09 2690
IAT表 在我们调用 dll函数的时候,发现代码中的汇编,是通过间接寻址的。也就是不直接 call函数地址,而是通过一个中间地址再跳转的。 比如调用MessageBox这类系统函数的时候(这也是个 dll中的函数),那么它的汇编会为 call dword ptr [ (004322d4) ]通过间接寻址,004322d4里面存的是X就可以跳到X,这个X变量可以任意指定。004322d4是.exe领空的,而间接寻址的X可以不是.exe领空,比如这次运行中X会变为77d5050b,就跳到了.dll ...
什么是 IAT(一)
北冥有鱼的Blog
03-13 9940
转自:信安之路IAT 三连之什么是 IAT?原创 2018-02-26 x-encounter 信安之路IAT 的全称是 ImportAddress Table。在可执行文件中使用其他 DLL 可执行文件的代码或数据,称为导入或者输入,当 PE 文件载入内存时,windows 加载器会定位所有导入的函数或数据将定位到的内容填写至可执行文件的某个位置供其使用,而这个操作是需要借助导入表来完成的。导入...
C++获取指定程序的IAT
afsafs1231的博客
09-16 180
今天学习导入表,于是便通过程序将获取IAT的过程实现一下,各位看官发现什么问题,请多指教。谢谢!废话不多说,下面是代码:#include<iostream> #include<windows.h> #include<winnt.h> usingnamespacestd; intmain(intargc,char*a...
【逆向】脱壳后修复IAT并关闭ASLR
Tigger.run 独立开发者 热爱逆向工程
04-12 1033
0x1 寻OEP OEP八大法…这里不具体展开… 0x2 修复IAT 脱壳后如遇到程序无法正常运行(XP环境),可能是因为导入表破坏,需要手动修复。 将暂停在OEP的进程加载到ImportREC中,通过OD查看IAT(导入表)地址与大小。 通过PC文件格式的学习,可以知道导入表的RVA在可选头的DataDirectory数组中存放,但由于程序加壳, 图为加壳程序IAT的偏移 18008,大小6...
详解OD脚本的写法续之进阶篇
把梦想放飞在蓝色的天空里...
08-15 3014
昨天给大家写了简单壳的脚本的写法,相信大家对一些简单壳都已经学会自己去写脚本了,至少已经能看懂脚本了吧。 好,今天就继续给大家讲稍微难点的壳的脚本的写法,希望大家能好好掌握。前提是,你已经看了昨天的基础篇,并已经学会写一些简单的脚本。 废话不多说,开始今天的内容。 首先来个稍微简单点的壳的脚本的写法:MoleBox 2.x的壳 当然,我们首先还是来手脱一下这个壳。所以说,写脚本
通过WINNT.H定义的结构体,获取进程IAT
enjoy5512的博客
06-02 1125
利用已定义的PE文件结构体获取本进程的IAT
第34章-手脱UPX,修复IAT1
08-03
"本章节主要讲解了如何手动解除UPX壳并修复IAT,以便程序能够正常运行。使用的工具包括OllyDbg (OD)、Import REConstructor (IRC) 和 PE-TOOLS。" 在计算机软件逆向工程中,有时我们需要处理加壳的可执行文件,以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值